Spring Security中WebSecurity和HttpSecurity的關(guān)系是什么

這篇文章給大家分享的是有關(guān)Spring Security中WebSecurity和HttpSecurity的關(guān)系是什么的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

前幾天有粉絲私信我：WebSecurity和HttpSecurity啥關(guān)系?當(dāng)時(shí)給我問住了，我大概只知道它們之間的關(guān)系類似TypeScript和JavaScript的關(guān)系，但是具體的細(xì)節(jié)確實(shí)不太清楚。因此就在周末簡(jiǎn)單研究了一下。

HttpSecurity的本質(zhì)

前幾天在Spring Security 5.4的新玩法中介紹了一種新的配置HttpSecurity的方式：

@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception {     return http             .antMatcher("/**")             .authorizeRequests(authorize -> authorize                     .anyRequest().authenticated()             )             .build(); }

其實(shí)就能夠知道HttpSecurity是用來構(gòu)建包含了一系列過濾器鏈的過濾器SecurityFilterChain，平常我們的配置就是圍繞構(gòu)建SecurityFilterChain進(jìn)行。還得拿出這張老圖：

安全過濾鏈

從上面這個(gè)圖中可以看出構(gòu)建好的還要交給FilterChainProxy來代理，是不是有點(diǎn)多此一舉?

WebSecurity的本質(zhì)

在有些情況下這種確實(shí)多此一舉， 不過更多時(shí)候我們可能需要配置多個(gè)SecurityFilterChain來實(shí)現(xiàn)對(duì)多種訪問控制策略。

多個(gè)SecurityFilterChain

為了精細(xì)化的管理多個(gè)SecurityFilterChain的生命周期，搞一個(gè)統(tǒng)一管理這些SecurityFilterChain的代理就十分必要了，這就是WebSecurity的意義。下面是WebSecurity的build方法的底層邏輯：

@Override protected Filter performBuild() throws Exception {    Assert.state(!this.securityFilterChainBuilders.isEmpty(),          () -> "At least one SecurityBuilder<? extends SecurityFilterChain> needs to be specified. "                + "Typically this is done by exposing a SecurityFilterChain bean "                + "or by adding a @Configuration that extends WebSecurityConfigurerAdapter. "                + "More advanced users can invoke " + WebSecurity.class.getSimpleName()                + ".addSecurityFilterChainBuilder directly");     // 被忽略請(qǐng)求的個(gè)數(shù) 和 httpscurity的個(gè)數(shù) 構(gòu)成了過濾器鏈集合的大小    int chainSize = this.ignoredRequests.size() + this.securityFilterChainBuilders.size();    List<SecurityFilterChain> securityFilterChains = new ArrayList<>(chainSize);     // 初始化過濾器鏈集合中的 忽略請(qǐng)求過濾器鏈         for (RequestMatcher ignoredRequest : this.ignoredRequests) {       securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));    }     // 初始化過濾器鏈集合中的 httpsecurity定義的過濾器鏈    for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : this.securityFilterChainBuilders) {       securityFilterChains.add(securityFilterChainBuilder.build());    }    FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);    if (this.httpFirewall != null) {        // 請(qǐng)求防火墻       filterChainProxy.setFirewall(this.httpFirewall);    }    if (this.requestRejectedHandler != null) {        // 請(qǐng)求拒絕處理器       filterChainProxy.setRequestRejectedHandler(this.requestRejectedHandler);    }    filterChainProxy.afterPropertiesSet();     Filter result = filterChainProxy;    if (this.debugEnabled) {       this.logger.warn("\n\n" + "********************************************************************\n"             + "**********        Security debugging is enabled.       *************\n"             + "**********    This may include sensitive information.  *************\n"             + "**********      Do not use in a production system!     *************\n"             + "********************************************************************\n\n");       result = new DebugFilter(filterChainProxy);    }    this.postBuildAction.run();    return result; }

從上面中的源碼可以看出，WebSecurity用來構(gòu)建一個(gè)名為springSecurityFilterChain的Spring  BeanFilterChainProxy  。它的作用是來定義那些請(qǐng)求忽略安全控制，那些請(qǐng)求必須安全控制，在合適的時(shí)候清除SecurityContext以避免內(nèi)存泄漏，同時(shí)也可以用來定義請(qǐng)求防火墻和請(qǐng)求拒絕處理器，另外我們開啟Spring  Seuciry Debug模式也是這里配置的。

同時(shí)還有一個(gè)作用可能是其它文章沒有提及的，F(xiàn)ilterChainProxy是Spring Security對(duì)Spring  framework應(yīng)用的唯一出口，然后通過它與一個(gè)Servlet在Spring的橋接代理DelegatingFilterProxy結(jié)合構(gòu)成Spring對(duì)Servlet體系的唯一出口。這樣就將Spring  Security、Spring framework、Servlet API三者隔離了起來。

感謝各位的閱讀！關(guān)于“Spring Security中WebSecurity和HttpSecurity的關(guān)系是什么”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！